Como criar uma política de privacidade conforme a LGPD
A política de privacidade é o rosto público do seu programa de conformidade LGPD. É por ela que os titulares de dados — clientes, colaboradores, visitantes — conhecem os seus direitos e entendem como seus dados são tratados. Uma política inadequada não é apenas um problema jurídico: é uma falha de transparência que corrói a confiança do titular e expõe a organização a sanções.
A boa notícia: criar uma política de privacidade robusta segue uma lógica clara. Este guia apresenta todos os elementos obrigatórios, os erros a evitar e como estruturar um documento que realmente funcione.
Aviso de privacidade, política de privacidade e aviso de cookies: qual a diferença?
Antes de escrever uma linha, é preciso entender que esses três documentos são distintos:
Aviso de privacidade (Privacy Notice):
- Para quem: Público externo — clientes, usuários do site, visitantes, titulares de dados
- O que é: Documento de comunicação pública orientado ao titular; informa o que é coletado, para quê, com quem é compartilhado e quais são os direitos
- Linguagem: Clara, acessível, não técnica
- Fundamento legal: Art. 9 da LGPD (transparência)
Política de privacidade interna (Privacy Policy):
- Para quem: Colaboradores, parceiros operacionais, DPO, TI
- O que é: Documento de governança interna com rotinas de coleta, armazenamento, eliminação, compartilhamento com terceiros e procedimentos de atendimento a titulares
- Linguagem: Técnica, normativa, como política corporativa
- Fundamento legal: Arts. 46-50 da LGPD (boas práticas e governança)
Aviso de cookies (Cookie Banner):
- Para quem: Usuário no momento do acesso ao site
- O que é: Mecanismo de obtenção de consentimento para cookies não essenciais + informação sobre tecnologias de rastreamento
- Forma: Banner ou pop-up interativo no primeiro acesso
Nota prática: No uso popular no Brasil, "política de privacidade" é usada para designar o documento público disponível no site — o que tecnicamente seria o "aviso de privacidade". A ANPD usa o termo "aviso de privacidade" para o documento externo. Neste guia, trataremos do documento público acessível aos titulares — seja chamado de aviso ou política.
O que a LGPD exige: artigos centrais
A LGPD não usa a expressão "política de privacidade", mas o princípio da transparência (Art. 6, VI) e o Art. 9 tornam o documento obrigatório na prática.
Art. 6, VI — Princípio da transparência: "Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento."
Art. 9 — Direito de acesso às informações: O titular tem direito ao acesso facilitado a informações sobre o tratamento. O art. 9 lista o que deve ser informado:
| Inciso | Informação obrigatória |
|---|---|
| I | Finalidade específica do tratamento |
| II | Forma e duração do tratamento |
| III | Identificação do controlador |
| IV | Informações de contato do controlador |
| V | Informações sobre uso compartilhado de dados e respectivas finalidades |
| VI | Responsabilidades dos agentes que realizarão o tratamento |
| VII | Direitos do titular, com menção explícita ao Art. 18 |
Art. 9, §1°: O consentimento é nulo se as informações contiverem "conteúdo enganoso ou abusivo" ou não tiverem sido apresentadas previamente com transparência.
Art. 9, §2°: Mudanças de finalidade incompatíveis com o consentimento original exigem comunicação prévia ao titular, com direito de revogação.
Art. 41, §1°: A identidade e as informações de contato do encarregado (DPO) devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site.
Os 13 blocos de uma política de privacidade completa
Bloco 1 — Identificação do controlador
Informe quem é responsável pelos dados:
- Razão social e nome fantasia
- CNPJ
- Endereço da sede
- Canais de contato (email, telefone, formulário)
Bloco 2 — Encarregado de dados (DPO)
Obrigatório pelo Art. 41, §1°:
- Nome do encarregado (se pessoa física) ou razão social + nome do responsável (se empresa)
- Canal de contato direto (preferencialmente email dedicado:
dpo@empresa.com.br)
Pequenas empresas: A Resolução CD/ANPD nº 2/2022 permite que microempresas e empresas de pequeno porte substituam a nomeação formal do DPO por um canal de comunicação com o titular, desde que efetivo dentro dos prazos legais.
Bloco 3 — Dados coletados
Liste as categorias de dados pessoais tratados:
- Dados de identificação (nome, CPF, RG, email, telefone)
- Dados de comportamento (histórico de navegação, logs de acesso)
- Dados financeiros (dados bancários, histórico de transações)
- Dados de localização (IP, GPS, endereço)
- Dados sensíveis (se aplicável) — com destaque especial, conforme Art. 11
- Dados de menores (se aplicável) — requer seção específica
Para cada categoria, informe como são coletados: formulários, cookies, integrações com terceiros, coleta direta.
Bloco 4 — Finalidades do tratamento
Para cada categoria de dado, informe para que é usado. As finalidades devem ser:
- Específicas (não genéricas como "melhorar a experiência")
- Explícitas (declaradas antes da coleta)
- Legítimas (compatíveis com o ordenamento jurídico)
Exemplo correto: "Seus dados de email são utilizados para envio de comunicações sobre atualizações do serviço contratado e, mediante consentimento específico, para envio de novidades e promoções."
Exemplo incorreto: "Usamos seus dados para diversos fins, incluindo melhoria de produtos e serviços."
Bloco 5 — Bases legais (Art. 7 e Art. 11)
Para cada finalidade, informe a base legal correspondente entre as 10 previstas no Art. 7 (ou as bases do Art. 11 para dados sensíveis). A política deve informar qual fundamento jurídico autoriza cada tratamento.
Não basta dizer "tratamos seus dados com base na lei" — indique a hipótese específica.
Bloco 6 — Compartilhamento de dados
Informe com quem os dados são compartilhados:
- Parceiros e prestadores de serviços (identifique as categorias, não precisa listar cada empresa)
- Órgãos públicos e autoridades (ANPD, Receita Federal, outros quando exigido por lei)
- Plataformas tecnológicas (se usar AWS, Google Cloud, ferramentas SaaS com acesso a dados)
- Finalidade de cada compartilhamento
Se houver transferência internacional de dados, informe o país de destino e as salvaguardas aplicadas. A Resolução CD/ANPD nº 19/2024 regula as transferências internacionais — organizações que usam ferramentas estrangeiras (Google, AWS, HubSpot, Stripe) realizam transferências internacionais e devem informar os titulares.
Bloco 7 — Período de retenção
Informe por quanto tempo cada categoria de dado é mantida e o critério usado:
- Prazo contratual: dados retidos durante a vigência do contrato + 5 anos
- Obrigação legal: ex. documentos fiscais por 5 anos, prontuários médicos por 20 anos
- Prazo razoável: ex. dados de candidatos não selecionados por 6 meses
Informe também o que acontece após o prazo: eliminação definitiva, anonimização ou arquivamento com acesso restrito. Os Arts. 15 e 16 da LGPD regulam o encerramento do tratamento.
Bloco 8 — Direitos do titular (Art. 18)
Mencione todos os 9 direitos previstos no Art. 18 — isso é exigido expressamente pelo Art. 9, VII:
- Confirmação da existência de tratamento
- Acesso aos dados tratados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
- Portabilidade dos dados a outro fornecedor
- Eliminação dos dados tratados com base no consentimento
- Informação sobre entidades que receberam os dados
- Informação sobre as consequências de não fornecer consentimento
- Revogação do consentimento, a qualquer momento
Bloco 9 — Como exercer os direitos
Informe o canal de atendimento ao titular (email, formulário, portal dedicado), o prazo para resposta (até 15 dias, conforme Art. 19 da LGPD) e que o atendimento é gratuito (Art. 18, §5°). Mencione também a possibilidade de o titular peticionar diretamente à ANPD (Art. 18, §1°).
Bloco 10 — Segurança dos dados
Descreva as medidas de segurança adotadas, sem revelar detalhes que comprometam a proteção:
- Criptografia em trânsito e em repouso
- Controle de acesso e autenticação
- Política de retenção e descarte seguro
- Monitoramento e resposta a incidentes
Mencione o canal de comunicação em caso de incidentes de segurança, conforme Art. 48 da LGPD.
Bloco 11 — Cookies (quando aplicável)
Se o site utiliza cookies, inclua:
- Tipos de cookies (necessários, analíticos, de marketing, de personalização)
- Finalidade de cada tipo
- Como aceitar, recusar ou gerenciar cookies
- Link para a política de cookies completa (se documento separado)
Bloco 12 — Dados de crianças e adolescentes (quando aplicável)
Se o serviço coleta dados de menores de 12 anos (crianças), o Art. 14 exige consentimento parental específico e destacado. Informe:
- Se o serviço é direcionado ou coleta dados de menores
- Como o consentimento parental é obtido
- Como os pais ou responsáveis podem exercer os direitos da criança
Bloco 13 — Atualizações da política
Informe:
- Data da última atualização e número de versão
- Como o titular será comunicado sobre mudanças relevantes (email, banner no site, notificação no app)
- Como acessar versões anteriores
Linguagem: o que a LGPD exige sobre clareza
O princípio da transparência (Art. 6, VI) impõe que as informações sejam "claras, precisas e facilmente acessíveis". O Art. 9 especifica "claras, adequadas e ostensivas". Isso significa:
- Sem jargão jurídico desnecessário — o titular médio deve entender
- Frases curtas, parágrafos organizados — evite blocos de texto densos
- Sem termos vagos — "poderemos usar seus dados para diversas finalidades" é inválido
- Linguagem adaptada ao público — uma política para app de saúde infantil usa linguagem diferente de uma plataforma B2B
A abordagem em camadas (layered approach) recomendada pelo ICO (autoridade de proteção de dados do Reino Unido) é uma boa prática aplicável no Brasil:
- Camada curta: resumo com as informações mais críticas + links para detalhes
- Camada completa: documento integral com todos os elementos
- Avisos contextuais: informações aparecem no momento exato em que o dado é coletado
Como disponibilizar a política
A LGPD exige acesso facilitado — a política não pode estar escondida em letras miúdas ou requerer login para ser lida. Boas práticas:
- Site: Link visível no rodapé de todas as páginas ("Política de Privacidade")
- Aplicativos: Na tela de onboarding, no menu de configurações e antes de coletar dados sensíveis
- Contratos: Referência expressa com URL ou texto completo em anexo
- Formulários: Link visível junto ao campo de consentimento
- Emails: Link no rodapé de emails de marketing e transacionais
A política deve estar disponível antes do início do tratamento dos dados, em formato que possa ser salvo ou impresso pelo titular.
Quando e como atualizar
Revise a política ao menos nas seguintes situações:
- Mudança na lei ou em regulamentos da ANPD — novas resoluções podem exigir atualizações
- Mudança nas operações — novo produto, nova finalidade, novo parceiro de dados
- Revisão periódica preventiva — recomenda-se ao menos uma vez por ano
Para mudanças relevantes que envolvam novas finalidades baseadas em consentimento, o Art. 9, §2° exige comunicação prévia ao titular com direito de revogação.
Ao atualizar, sempre:
- Inclua a nova data e número de versão
- Publique as versões anteriores em repositório acessível
- Comunique os titulares por email ou notificação no app
Erros que comprometem a política de privacidade
| Erro | Consequência |
|---|---|
| Política genérica copiada de outro site | Não reflete as operações reais; pode ser nula |
| Finalidades vagas ("melhorar serviços") | Viola o princípio da finalidade (Art. 6, I) |
| Ausência de base legal para cada finalidade | Tratamento sem fundamento jurídico |
| Não mencionar os 9 direitos do Art. 18 | Viola o Art. 9, VII |
| Não publicar contato do DPO | Viola o Art. 41, §1° |
| Não mencionar transferências internacionais | Viola o Art. 9, V e a Res. CD/ANPD nº 19/2024 |
| Política desatualizada (mais de 2 anos sem revisão) | Desconformidade com regulamentos mais recentes |
| Exigir login para acessar a política | Viola o princípio do acesso facilitado (Art. 9) |
| Caixas pré-marcadas para consentimento | Consentimento inválido (Art. 8) |
Conclusão
Uma política de privacidade bem construída não é apenas um requisito legal — é um instrumento de transparência que demonstra respeito pelo titular e sinaliza maturidade em proteção de dados. A ANPD já aplica sanções por descumprimento, e os titulares estão cada vez mais atentos aos seus direitos.
Siga a estrutura dos 13 blocos, use linguagem clara, atualize com regularidade e disponibilize de forma acessível. O investimento é pequeno; o risco de não fazer é grande.
O Confidata oferece um módulo de gestão de documentação LGPD que centraliza sua política de privacidade, controla versões e vincula automaticamente as atividades de tratamento com suas respectivas bases legais e finalidades.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.